第三方 SDK 风险评估

格式：在添加一个新的 npm 包或第三方服务前，做风险评估。

评估清单：

包名：_____

基本信息：
- [ ] 每周下载量？（>10万通常安全）
- [ ] 最近更新时间？（>1年没更新有风险）
- [ ] GitHub 星标数？（参考，但不是唯一标准）
- [ ] 维护者数量？（只有1个人维护有巴士因子风险）
- [ ] 有没有已知安全漏洞？（npm audit 检查）

权限：
- [ ] 它需要访问网络吗？
- [ ] 它需要读写文件系统吗？
- [ ] 它需要环境变量吗？
- [ ] 它会发送数据到外部服务器吗？

替代方案：
- [ ] 有没有更流行的替代品？
- [ ] 能不能不用这个包，自己写一个简单版本？